Se produjo un ataque de ransomware en mi servidor, tengo copias de seguridad y todas, y localicé la causa de dos elementos (ya sea una pila Bitnami LAMP no actualizada o un servidor Flask no actualizado) pero noté que algunos archivos no están cifrados, cualquier verificación debería hacer para verificar que puedo usar estos archivos de forma segura?
La forma en que ransomware encripta los archivos se basa en las extensiones. Añaden una amplia gama de extensiones para cubrir la mayoría de los archivos cruciales para trabajar / negocios / escuela, etc. Esa lista no es dinámica ni está basada en la nube / servicio, por lo general está codificada en el propio malware. Al menos eso es lo que pasó hasta ahora. Entonces, si, por ejemplo, el ransomware no agregara .mp3 a la lista de cifrado, se omitirá y los archivos no se verán afectados. Puede hacer un análisis completo con software antimalware y antivirus solo para estar seguro, pero creo que los datos no se verán afectados y puede usarlos de forma segura.
Dato curioso: esta es la razón por la que tener 2 ransomware (uno tras otro) en tu computadora no hará daño adicional. Normalmente, el ransomware no contiene otras extensiones de cifrado.
El ransomware no cifra todos los archivos. Si tiene el nombre del ransomware, puede encontrar qué archivos se cifrarán en Internet.
Para asegurarse de que los archivos que no están encriptados no se modifican en absoluto, puede escribir un script para calcular la suma hash de cada archivo y compararla con su copia de seguridad (si los archivos no se han modificado desde que usted copia de seguridad).
Lea otras preguntas en las etiquetas ransomware